Postal 跨站脚本漏洞CVE-2026-25529

Postal 是一款面向网站与Web服务器的开源全功能邮件投递平台，因此可以作为 SendGrid、Mailgun等商业邮件服务的自建替代方案。

一、基本情况

Postal 是Postal开源的一个完整且功能齐全的邮件服务器，供网站和Web服务器使用，专注高效、安全地处理海量邮件的收发与管理。

Postal 采用现代化技术栈构建，核心是完整邮件服务引擎，搭配直观Web管理界面与强大API，支持SMTP、HTTP API等多种投递方式。

Postal 基于开源协议免费使用，所有数据与配置完全自主可控，兼顾易用与扩展性，适合企业自建邮件系统、SaaS 服务商、电商平台。

栋科技漏洞库关注到 Postal 3.3.5 之前版本存在跨站脚本漏洞，该漏洞现在已经被追踪为CVE-2026-25529，漏洞的CVSS3.X评分8.1。

二、漏洞分析

CVE-2026-25529是 Postal 3.3.5受影响版本跨站脚本漏洞，漏洞源于API的send/raw方法允许包含未转义数据，可导致HTML注入攻击。

具体来说，该高危漏洞允许未经转义的数据被展示在管理界面中，未经转义数据被注入的主要途径是通过 API 的 send/raw 方法。

该漏洞可导致任意 HTML 代码被注入到页面中，既可能以误导性方式篡改页面内容，也可能使未授权的 JavaScript 代码得以执行。

如果你不使用旧版 API 来投递邮件，那么受该漏洞影响的风险较低，因为 SMTP 服务器会对 < 和 > 字符做安全清洗处理。

三、影响范围

Postal <= 3.3.5

四、修复建议

Postal >= 3.3.5

五、参考链接

管理员已设置登录后刷新可查看